昨夜被载入史册的不是XP退役 而是核弹级互联网漏洞爆出

UFO爱好者

“有可能导致网络大混乱么？”反复修改了自己的问题之后，我点击了“发送”。
片刻后，对话框里跳出一句回复“现在已经乱了。”
之后，是长久的寂静。
显然，网络对面那位顶级白帽（指以善意方式使用自身技术的黑客），已经顾不上搭理我——在这个不眠之夜，Ta还有太多的事情要做。
2014年4月8日，必将永载于互联网史册。
这一天，互联网世界发生了两件大事：一、微软正式宣布XP停止服务退役；第二件，OpenSSL的大漏洞曝光。
很多普通人更关心第一件事，因为与自己切身相关。
但事实上，第二件事，才是真正的大事件。
这个漏洞影响了多少网站，这个数字仍在评估当中，但放眼放去，我们经常访问的支付宝、淘宝、微信公众号、YY语音、陌陌、雅虎邮件、网银、门户等各种网站，基本上都出了问题。
而在国外，受到波及的网站也数不胜数，就连大名鼎鼎的NASA（美国航空航天局）也已宣布，用户数据库遭泄露。
这个漏洞被曝光的黑客命名为“heartbleed”，意思是“心脏出血”——代表着最致命的内伤。
这是一个极为贴近的表述。
如果用专业的表述，OpenSSL是为网络通信提供安全及数据完整性的一种安全协议，它通过一种开放源代码的SSL协议，实现网络通信的高强度加密。
这也就是说，OpenSSL的存在，就是一个多用途的、跨平台的安全工具，由于它非常安全，所以被广泛地用于各种网络应用程序中。
但现在，OpenSSL自己出现了漏洞，而且是非常高危胁的漏洞。利用这个漏洞，黑客可以轻松获得用户的cookie，甚至明文的帐号和密码。
这就像什么呢？你背靠着城墙与敌人战斗，突然，墙垮了。
于是，一场疯狂的竞速开始。
网站们开始紧急预警和修复升级，安全公司和白帽们忙着测试漏洞影响并进行扩展推衍，而更多的黑客们，则抓紧时间开始狂欢：
懂技术的人，深入地把玩这个漏洞，以它为武器，向自己久攻不下的网站发起攻击；不懂技术的小黑客们，也如同大战场边缘的游勇，利用漏洞四下劫掠。
这是一个不眠之夜——除了大批仍茫不知情的网民。
面对危机，网站们策略不一，有的紧急升级OpenSSL；有的暂停了服务；有的服务还在，但暂停了SSL加密；当然，还有的在睡大觉……
希望他们早上起来以后，还能保持自己放松的心情。
事实上，就漏洞本身来说，现在黑客们争夺的就是时间，一旦主要的网站们完成漏洞修复，这一波地震就能算是过去，大家自然回归常态，该网购的网购，该玩的玩。
不过，值得注意的是，由于OpenSSL应用非常广泛，所以相对网站等表面上的应用，它在各种客户端、VPN、WAF等其他领域，也将带来更加隐蔽的风险，并将持续一段时间。
而对整个互联网产业来说，这个事件更大的一个意义，在于让所有人重新回过头来反思：
当我们认为安全的一切，都突然变得不安全，我们又将如何维持这个虚拟世界的存续与稳定？
如果，这个事件能够改变环境，让因为不受重视，缺乏商业输血，长期处于孱弱状态的中国网络安全产业获得新的生机，或许，也能算是塞翁失马，终有所得。
[文 王云辉  Via 百度百家]

2014年4月8日，XP宣布正式停止服务的日子，也是Openssl爆出大漏洞的日子。
整个下午我们都处于应急状态中，精神紧绷，这个漏洞影响30-50%比例使用https的网站，其中包括大家经常访问的：支付宝、微信、淘宝、网银、社交、门户等知名网站。
只要访问https的网站便有可能存在被嗅探数据的风险，下午5点左右ZoomEye完成了这个数据扫描：全国443端口：1601250，有33303个受本次OpenSSL漏洞影响！不知道放眼世界，有多少使用https的受到威胁。
OpenSSL是什么？
他为网络通信提供安全及数据完整性的一种安全协议，囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议，并提供了丰富的应用程序供测试或其它目的使用。
OpenSSL漏洞
OpenSSL是一种开放源码的SSL实现，用来实现网络通信的高强度加密，现在被广泛地用于各种网络应用程序中。OpenSSL Heartbleed模块存在一个BUG，当攻击者构造一个特殊的数据包，满足用户心跳包中无法提供足够多的数据会导致memcpy把SSLv3记录之后的数据直接输出，该漏洞导致攻击者可以远程读取存在漏洞版本的openssl服务器内存中长大64K的数据。
存在该漏洞的版本
1. OpenSSL 1.0.1 through 1.0.1f (inclusive) are vulnerable
2. OpenSSL 1.0.1g is NOT vulnerable
3. OpenSSL 1.0.0 branch is NOT vulnerable
4. OpenSSL 0.9.8 branch is NOT vulnerable
简单的说，黑客可以对使用https(存在此漏洞)的网站发起攻击，每次读取服务器内存中64K数据，不断的迭代获取，内存中可能会含有程序源码、用户http原始请求、用户cookie甚至明文帐号密码等。
漏洞爆发后
甲方公司运维、安全开始紧急预警修复升级，乙方公司忙着帮互联网去测试有多少网站受影响以及推出检测脚本，网民们却不知情。只能傻傻的看着微博满屏的OpenSSL暴漏洞了！ 黑客们开始搞起来吧！但这确实是一个不眠之夜，太多的网站受到影响，很多用户不知情仍然在访问着老虎嘴中的站点。
懂技术的人开始研究这个漏洞并编写起自己的检测脚本以及嗅探程序，不懂的小黑客们也照猫画虎的玩起这个漏洞，归根结底受害的还是蒙在鼓里的人们。
这个漏洞影响究竟有多大？
收到这个漏洞后我们最先测试了https://alipay.com 确认存在此漏洞，发起检测。
之后我们又发现雅虎门户主页、微信公众号、微信网页版、YY 语言、淘宝、网银、陌陌、社交、门户网站存在此漏洞。



上面是嗅探到陌陌的部分数据，整个数据包里面包含详细经纬度、陌陌 UID、版本、手机型号等详细信息。



同样，在另外一个社交网站中我获取到了用户登录的帐号以及密码甚至是安全问题与答案，这里的密码使用的明文传输，以至于通过这样的漏洞攻击我成功的登录了上百个账户，当然我什么都没做，出于测试而已。
用户修改密码、发送消息、登录等请求以及很多操作全部在数据包中暴露出来，这里我就不列举更多受影响的网站了。其实这个漏洞据说早在 2012 年就被挖掘出来，直到昨天 CVE 纳入编号 CVE-2014-0160，8 号才正式爆发。使用HTTPS的网站大多是因为数据需加密防止嗅探等攻击的发生，漏洞爆发后彻底将这层大门打破，于是很多网站处于被监听的状态中。
此漏洞POC早已有人公布，所以导致WooYun漏洞平台上很多白帽子开始对大范围网站进行了测试刷分，场面颇为壮观：



因此漏洞非用户安全所致，只要网站使用了存在漏洞的OpenSSL版本，用户登录该网站时就可能被黑客实时监控到登录账号和密码，此漏洞应由服务商尽快提供OpenSSL的升级。
可喜的是诸如腾讯、网易、淘宝这些大的厂商对安全问题的应急相应速度很快，很多存在OpenSSL问题的网站已经修复，剩下一些相信也会通过白帽子们的努力很快修复。
截止8号 23：00，L对我说：不少大型网站的数据还在不断嗅探录入。